ממשלת הולנד שואפת לעצב את כללי הגילוי של האקרים האתניים

מרכז האבטחה של הממשלה ההולנדית פירסם הנחיות כי הוא מקווה לעודד האקרים אתיים לחשוף את הפגיעויות האבטחה באופן אחראי.

"לאנשים המדווחים על פגיעות IT יש תפקיד חשוב אחריות חברתית ", אמר היום (ה ') המשרד ההולנדי לביטחון וצדק, שהכריז על קווים מנחים לפריצה אתית שפורסמו על ידי המרכז הלאומי לביטחון אינטרנט (NCSC).

האקרים לבנים וחוקרי אבטחה ממלאים תפקיד חשוב בביטחון מערכות ה- IT על ידי מציאת נקודות תורפה, אמר NCSC. עם זאת, המרכז טען שחוקרי אבטחה נרתעים לעתים לגלות את הפגיעויות לחברות, במקום להשתמש בכלי התקשורת כדי להכריז על נקודות תורפה, דבר שאינו רצוי משום שהוא חושף חור לפני שהוא קבוע. (ראה גם '' חמקמק 'Hactivists הפוך את הצהרת החברה, מלומד אומר. ")

[לקריאה נוספת: כיצד להסיר תוכנות זדוניות מהמחשב Windows שלך]

עם המדריך, הממשלה רוצה לספק לארגונים מסגרת עם ליצור מדיניות משלהם על גילוי אחראי. איבו אופסטלטן, שר הביטחון והצדק, מתכוון לעודד שימוש נרחב בהנחיות הגילוי הנלוות בממשלה, הוא אמר במכתב שנשלח לפרלמנט.

בעוד שההנחיות שפורסמו אינן משפיעות על המסגרת המשפטית הקיימת, מעודדת את הצדדים לעבוד יחד כדי להפוך את מערכות ה- IT לבטוחות יותר. חברות וממשלות יכולות, למשל, להציע טופס מקוון סטנדרטי שיכול לשמש את חוקרי האבטחה כדי להודיע ​​לארגון אם הם מצאו פגיעות, הוא אמר.

החברה והחוקר יכולים גם להסכים לחשוף את הפגיעות בתוך זמן מסוים מִסגֶרֶת. תקופה מתקבלת על הדעת של גילוי של פגיעויות תוכנה היא 60 ימים, בעוד תקופה סבירה לחשוף קשה יותר לתקן את הפגיעויות בחומרה הוא שישה חודשים, NCSC אמר. כאשר ארגון מחליט לפעול לפי ההנחיות הללו, הוא יכלול במדיניותו כי לא ינקוט צעדים משפטיים נגד האקרים מוסריים העומדים בכללים, הוסיף. [

] שירות התביעה הציבורית ההולנדית ישמור את האפשרות להעמיד לדין הוא חשוד כי פשעים בוצעו, אמר משרד הביטחון והצדק.

ההליך המומלץ

האדם המגלה את הפגיעות צריך לדווח על כך ישירות ובמהירות האפשרית לבעלים של המערכת באופן סודי, כך דליפה לא יכול להיות התעללו על ידי אחרים. יתר על כן, האקר האתי לא להשתמש בטכניקות הנדסה חברתית, ולא להתקין אחורית או להעתיק, לשנות או למחוק נתונים מהמערכת, NCSC שצוין. לחלופין, האקר יכול לעשות רישום בספרייה במערכת, נאמר בהנחיות.

האקרים צריכים גם להימנע משינוי המערכת ולא לגשת שוב ושוב למערכת. שימוש בטכניקות כוח פראי לגשת למערכת הוא גם discouraged, אמר NCSC. בנוסף, על האקר המוסרי להסכים כי פגיעויות ייחשפו רק לאחר שתוקנו ורק בהסכמת הארגון המעורב. הצדדים יכולים גם להחליט להודיע ​​לקהילת ה- IT הרחבה יותר אם הפגיעות היא חדשה או שיש חשד כי למערכות נוספות יש את אותה הפגיעות, אומר ה- NCSC. [

] אמנם הליך הגילוי האחראי הוא בעיקרון עניין של הגלאי ושל ארגון ה- NCSC יכול לשמש כמתווך אם דיווח על הפגיעות הוא ישיר.

"אני חושב שזה דבר טוב מאוד, במיוחד כאשר NCSC פועל כמתווך", אמר רונלד פרינס, מנכ"ל האבטחה ההולנדית חברת Fox-IT. אחת הבעיות שעומדות בפני האקרים האתיים היא שקשה להם להתייחס אליהם ברצינות אם הם מדווחים על פגיעות לחברה, והם מתקשים להגיע לאדם הנכון, הוא אומר.אם הארגון יפנה לארגון על-ידי ארגון ממשלתי רשמי כמו ה- NCSC, סביר להניח שייקח את האזהרה ברצינות רבה יותר, הוסיף. טפסים מקוונים המשמשים כדי לדווח על הפגיעות ישירות לאדם הנכון בתוך הארגון יכול גם לסייע בתהליך זה, הוסיף. למרות שיש מעט גמישות שניתנה האקרים אתיים בתוך ההנחיות, פרינס אמר שהוא הבין למה הממשלה עושה את זה. הוא מונע מהאקרים מוסריים לחצות את הקו, אמר. "אני רואה שכמה אנשים מאוכזבים", משום שלתביעה לתביעה הציבורית מותר עדיין להעמיד לדין אם יראו לנכון, אמר פרינס. אבל אי אפשר שלא לעשות את זה, הוסיף. "הייתי שמח מאוד אם מישהו מדווח על בעיה שהוא מצא", אמר. אבל אם האדם הזה יבלה ימים במערכות שלו כדי להיכנס, פרינס בהחלט ישקול הגשת תלונה משפטית, הוא אמר.

Loek הוא כתב אמסטרדם ומכסה פרטיות מקוונת, קניין רוחני, קוד פתוח ונושאי תשלום מקוונים עבור IDG שירות החדשות. עקוב אחריו בטוויטר ב- @loekessers או בדוא"ל טיפים והערות ל [email protected]